アプライアンスのアップストリームULNミラーの設定
設計上、コンピュート・ノードにはアプライアンスの外部からアクセスできません。 Private Cloud Applianceは、データ・センター内のローカル・ミラーをアップストリームULNミラーとして使用します。 アプライアンスの内部共有ストレージにある内部リポジトリがアップストリーム・ミラーと同期され、必要なパッケージへのコンピュート・ノード・アクセスが可能になります。
「サービスCLI」の使用
-
管理ノード・クラスタを構成して、ローカルULNミラーと同期し、パッケージの更新を受信します。
setUpstreamUlnMirror
コマンドを使用して、データ・センター・ミラー・サーバーの「完全修飾ドメイン名」を設定します。注意:
データ・センター・ミラー・サーバーを参照するには、システムIPアドレスではなく、完全修飾ドメイン名を使用する必要があります。
PCA-ADMIN> setUpstreamUlnMirror ulnMirrorLocation=http://host.example.com/yum Data: upstream channels are set UpstreamMirror status = success
-
よりセキュアな接続を構成するには、「HTTPSを使用したULNミラー・サーバーへの到達」を参照してください。
-
内部アプライアンス・リポジトリと同期するための追加のチャネルを設定するには、
addUpstreamUlnChannel
コマンドを使用します。 これにより、チャネルがローカルyumリポジトリ構成に追加されます。ノート:
このステップは、Oracle Container Engine for Kubernetes (OKE)のレジストリを設定するために必要です。 ただし、ホストへのパッチ適用の最後に自動的に実行されます。
PCA-ADMIN> addUpstreamUlnChannel ulnMirrorLocation=http://host.example.com/yum channel=pca302_x86_64_regionregistry
同期化されたチャネルの構成を解除するには、
removeUpstreamUlnChannel
コマンドを使用します。
「サービスWeb UI」の使用
ノート:
このUI関数は、ソフトウェア・バージョン3.0.2-b925538以降で使用できます。
アップストリームULNミラーを次のように設定します:
-
ナビゲーション・メニューで、「メンテナンス」をクリックし、「ULNミラー」を選択します。
-
「ULNミラー」ページの右上隅にある「ULNミラーの設定」をクリックします。
ULN Mirrorウィンドウが表示されます。
-
パラメータを入力します:
-
ULNミラー: データ・センター内のULNミラーの完全修飾ドメイン名。
-
プロキシ: データセンターがインターネット・アクセスの仲介者としてプロキシ・サーバーを使用している場合は、ここでそのサーバーを指定します。
-
-
ULNミラーの設定をクリックします。
ULNミラーが設定されます。
HTTPSを使用したULNミラー・サーバーへの到達
HTTPSを使用してULNミラーに接続するには、ULNミラー・サーバーのTLS信頼情報をアプライアンスに追加します。 アプライアンスに追加するTLS信頼情報には、CAチェーンまたはX.509サーバー証明書のみを含める必要があります。アプライアンスの信頼情報にキーを含めることはできません。
-
サーバー証明書が商用認証局によって署名されている場合は、何もアプライアンスに追加しないでください。 この手順をスキップします。
-
サーバー証明書が非商用認証局によって署名されている場合、アプライアンスに追加するTLS信頼情報は、非商用CAチェーン・ファイル(PEMまたはCRT形式)です。
-
サーバー証明書が自己署名の場合、アプライアンスに追加するTLS信頼情報は、サーバー証明書のコピー(PEM形式)です。
証明書の有効期限など、ULNミラー・サーバー上のX.509サーバー証明書が交換されるたびに、このプロセスを繰り返します。
-
最初の管理ノードで、次のディレクトリがまだ存在しない場合は作成します:
/etc/pca3.0/vault/customer_ca/
-
CAチェーンまたはX.509サーバー証明書を
/etc/pca3.0/vault/customer_ca/
ディレクトリにコピーします。ULNサーバー証明書が自己署名でない場合は、CAチェーンをコピーします。 ULNサーバー証明書が自己署名(サブジェクト・キー識別子が権限キー識別子と同じ)の場合は、サーバー証明書をコピーします。
-
次のコマンドを実行します。
python3 /usr/lib/python3.6/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns
結果として生成されるTLS信頼/証明書バンドルは、各管理ノードの次のディレクトリにあります:
/etc/pca3.0/vault/certs/ca_outside_bundle.crt